Art. 2. - [Definicje legalne] - Krajowy system cyberbezpieczeństwa.

Dziennik Ustaw

Dz.U.2023.913 t.j.

Akt obowiązujący

Wersja od: 25 września 2023 r.

Art. 2. [Definicje legalne]

Użyte w ustawie określenia oznaczają:

CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego;

CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej;

CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy;

cyberbezpieczeństwo - odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy;

incydent - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;

incydent krytyczny - incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;

incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;

incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ (Dz. Urz. UE L 26 z 31.01.2018, str. 48), zwanego dalej "rozporządzeniem wykonawczym 2018/151";

incydent w podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o którym mowa w art. 4 pkt 7-15;

10)

obsługa incydentu - czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu;

11)

podatność - właściwość systemu informacyjnego, która może być wykorzystana przez zagrożenie cyberbezpieczeństwa;

12)

ryzyko - kombinację prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;

13)

szacowanie ryzyka - całościowy proces identyfikacji, analizy i oceny ryzyka;

14)

system informacyjny - system teleinformatyczny, o którym mowa w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2023 r. poz. 57), wraz z przetwarzanymi w nim danymi w postaci elektronicznej;

15)

usługa cyfrowa - usługę świadczoną drogą elektroniczną w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344), wymienioną w załączniku nr 2 do ustawy;

16)

usługa kluczowa - usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych;

17)

zagrożenie cyberbezpieczeństwa - potencjalną przyczynę wystąpienia incydentu;

18)

zarządzanie incydentem - obsługę incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu;

19)

zarządzanie ryzykiem - skoordynowane działania w zakresie zarządzania cyberbezpieczeństwem w odniesieniu do oszacowanego ryzyka.

Dokumenty powiązane

Jeżeli chcesz mieć dostęp do wszystkich dokumentów powiązanych, zaloguj się do LEX-a Nie korzystasz jeszcze z programów LEX? Zamów dostęp testowy

Pytania i odpowiedzi liczba obiektów na liście: (4)

Czy w szkole powinna obowiązywać procedura o cyberbezpieczeństwie?
Czy szkoła podstawowa musi zgłosić osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz wprowadzić instrukcję zarządzania zdarzeniami, mającymi negatywny wpływ na cyberbezpieczeństwo?
Czy żądanie przedłożenia certyfikatów, w przypadku zamówienia na usługę audytu bezpieczeństwa informacji KRI, należy uznać za nieprawidłowe?

Orzeczenia i pisma urzędowe liczba obiektów na liście: (2)

Orzeczenia sądów liczba obiektów na liście: (1)

VI SA/Wa 2151/19 - Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie

Komentarze i publikacje liczba obiektów na liście: (2)

Komentarze praktyczne liczba obiektów na liście: (1)

Praktyczne konsekwencje dla banków stosowania Ustawy o krajowym systemie cyberbezpieczeństwa

Komentarze liczba obiektów na liście: (1)

Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz